English 版 (精华区)

发信人: Porod (扬之水◎Love in One Day), 信区: English
标  题: Lax Maxx
发信站: 哈工大紫丁香 (Sat Mar 31 14:20:52 2007), 转信


Mar 30th 2007
From Economist.com

Stealing customers’ data still seems all too easy

AFP
UNTIL recently TJ Maxx clothes shops were best known for a rapidly-changing
 assortment of brand-name clothing at rock-bottom prices. Now TJX, the American
 parent company that operates TJ Maxx (TK Maxx as it is known in Britain)
 and a clutch of other chains in 2,500 shops in America and elsewhere, may
 be better known for letting slip its customers’ credit- and debit-card 
details in bulk. This week details were released of a huge security breach
 that first cam to light late last year (the company first admitted it had
 a problem in January). Hackers had apparently gained access to the card 
details of 45.7m customers.

Shamefaced spokesmen have tried to look on the bright side. This may be the
 worst instance, ever, of data theft, but TJX reckons three-quarters of the
 stolen details were too old to be of any use to criminals. But who knows
? The company concedes it is unsure of the full extent of the theft. Its 
computer systems were first breached in July 2005 and much of the data it
 had stored was, in time, routinely deleted, possibly after it had been pinched
. That makes it impossible to be sure precisely what went astray and when
. 

 Not much evidence exists that the stolen data led to more crime. Reports
 of criminal use of the stolen information have come from as far afield as
 Sweden and Hong Kong. But few arrests have resulted from the fraudulent 
use of the stolen information. Investigators say that six people arrested
 in Florida last week were using credit-card numbers from TJX’s database
 to obtain jewellery and electrical goods worth around $1m. But doubts remain
 over whether the case is connected to the information heist. Banks have 
done their bit, replacing cards that customers used in transactions with 
the company. 

Although the damage from this particular instance of cybertheft seems limited
, the general problem is vast. Past American government estimates put losses
 from data theft and its more sinister counterpart, identity theft, at some
 $50 billion a year. And each month brings further news of the potential 
leak of personal information. In the two years up to last December some estimates
 reckoned that 100m records had been “compromised” in data breaches in 
America.

Data can easily fall into the wrong hands. In December the University of 
California said that hackers had accessed the records of 1m former students
 and staff (educational institutions appear particularly vulnerable to cybertheft
). The same month Aetna, a big health-care provider, said that burglars had
 made-off with back-up tapes containing the details of thousands of customers
, among a haul of more traditional booty. Again in December, Boeing said 
that a laptop had gone missing from an employee’s car. The computer held
 the personal details of 382,000 former and present employees.

American firms and institutions seem particularly lax at safeguarding private
 information. The European Union’s data-protection directive has encouraged
 firms in Europe to take the issue more seriously. In America firms have 
little incentive to do so. Carelessness brings few penalties other than a
 blow to a corporate reputation that may soon pass. And no system can ever
 be made completely secure. In the race between security experts and hackers
, the latter always seem one step ahead. And public clamour for action has
 failed to translate into federal legislation.

Last year Congress did try to make life tougher for cybercriminals, but then
 failed to agree on new data protection measures. In January a new bill was
 introduced that would at least insist that customers whose data has been
 filched must be told. But the raising of encryption standards, which might
 prevent hackers or laptop thieves getting at sensitive information, is not
 addressed. Several states, with California at the forefront as usual, have
 brought in their own legislation on notification and other measures that
 would make it harder for criminals to profit from identity theft. But, for
 now, American businesses are taking few extra precautions to prevent wholesale
 scams.


--
困境有一种特殊的科学价值，有智慧的人是不会放弃这个通过它而进行学习的机会的。  　


※ 来源:·哈工大紫丁香 bbs.hit.edu.cn·[FROM: 211.151.90.150]